Перейти к содержанию

у меня проблема один в один как у " nov_77 "


Рекомендуемые сообщения

@thyrex,
День добрый!
у меня проблема один в один как у " nov_77 ", заражен Пк, был 2 дня назад. Спасибо за внимание


Внимание! Вы нарушили закон! Все Ваши файлы заблокированы! Чтобы разблокировать файлы посетите сайт http://stoppedpiracy.host.skЕсли сайт недоступен пишите на емейл stpiracy@email.su Ваш id ********     Расширение стало *.rOSb1V


9I_6JFU7IBg.jpg

CollectionLog-2015.09.13-16.52.zip

Addition.txt

FRST.txt

Fixlog.txt

Изменено пользователем Volkov
Ссылка на комментарий
Поделиться на другие сайты

Несколько зашифрованных файлов выложите одним архивом на rghost.ru и пришлите ссылку на скачивание 

http://rghost.ru/download/6tQRwNFdy/8aa7db91de9389db48bd82a47e5b42c543a33e88/%D0%9D%D0%BE%D0%B2%D0%B0%D1%8F%20%D0%9F%D0%B0%D0%BF%D0%BA%D0%B0.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\ушко\appdata\local\temp\services.exe','');
QuarantineFile('C:\Windows\driver.exe','');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
QuarantineFile('C:\Users\ушко\AppData\Roaming\daemon.exe','');
DeleteService('TSSysKit');
DeleteService('TSSKX64');
DeleteService('TSDefenseBt');
DeleteService('TSCPM');
DeleteService('TFsFlt');
DeleteService('QQSysMonX64');
DeleteService('QMUdisk');
SetServiceStart('TAOAccelerator', 4);
DeleteService('TAOAccelerator');
SetServiceStart('TAOKernelDriver', 4);
DeleteService('TAOKernelDriver');
DeleteService('QQPCRTP');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRtp.exe','32');
DeleteFile('C:\Windows\System32\Drivers\TAOKernel64.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TAOKernel64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSSysKit64.sys','32');
DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TsDefenseBT64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\tscpm64.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32');
DeleteFile('C:\Users\ушко\AppData\Roaming\daemon.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64');
DeleteFile('C:\Windows\driver.exe','32');
DeleteFile('C:\Users\ушко\appdata\local\temp\services.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Re: [KLAN-3134647729]

"Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

 

services.exe

 

An unknown file has been received. It will be sent to the Virus Lab.

 

driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xtp

 

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

 

Best Regards, Kaspersky Lab" 

 

Создавать Новую тему или продолжить здесь?

 

 

Ссылка на комментарий
Поделиться на другие сайты

Логи прикрепляют к сообщению, а не выкладывают на обменник.

 

+ Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@thyrex

 

 

Логи прикрепляют к сообщению, а не выкладывают на обменник.

 

 

Понял, прошу прощения.
Спасибо Вам за терпение и помощь!

Addition.txt
Изменено пользователем Volkov
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707&q={searchTerms}
HKU\S-1-5-21-206918112-3388628650-1384182774-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://spacesearch.ru/?ri=1&rsid=430d16f7ada3c333169a8bcf0615d9b7&q={searchTerms}
HKU\S-1-5-21-206918112-3388628650-1384182774-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://spacesearch.ru/?ri=1&rsid=430d16f7ada3c333169a8bcf0615d9b7&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1429613802&from=cor&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707&q={searchTerms}
SearchScopes: HKU\S-1-5-21-206918112-3388628650-1384182774-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=430d16f7ada3c333169a8bcf0615d9b7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-206918112-3388628650-1384182774-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://spacesearch.ru/?ri=1&rsid=430d16f7ada3c333169a8bcf0615d9b7&q=
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->  No File
DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=430d16f7ada3c333169a8bcf0615d9b7&q= <==== ATTENTION
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1442009621&z=b425247dbd02cfdb5b709b6gfzaz5o2ece6t4z8qet&from=cornl&uid=WDCXWD20EARX-00PASB0_WD-WCAZA845070750707
2015-09-12 14:31 - 2015-06-13 00:57 - 00000720 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-09-12 01:42 - 2015-03-09 21:10 - 00000000 ____D C:\Users\ушко\AppData\Roaming\eTranslator
2014-12-28 13:15 - 2010-11-20 16:24 - 0000204 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2014-12-28 13:15 - 2010-11-20 16:24 - 0000204 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2014-12-28 13:15 - 2010-11-20 16:24 - 0000204 _____ () C:\Users\ушко\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2014-12-28 13:15 - 2010-11-20 16:24 - 0000204 _____ () C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Task: {08275474-9F85-41A8-AC1A-561DF4541F9B} - \Soft installer -> No File <==== ATTENTION
Task: {3DD11CC6-1F85-41F8-B7C0-2E1A2C4EF9F4} - \SpyHunter4Startup -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sqwerno
      От Sqwerno
      Добрый день.
      Это продолжение моей проблемы, на которую так никто и не ответил, приведу текст ниже;
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
       
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему"
      Не дождавшись ответа, я просто решил поставить новую систему.
      Скачал iso-файл, поставил. Начал процесс переустановки. На моменте выбора диска необходимо отформатировать диск, что у меня не получилось. Пытался удалить разделы, они просто не удаляются.
      Пробовал через diskpart, говорит, что отказано в доступе, хотя графа "только для чтения" выключена. Попробовал уже все, что есть на просторах интернета, уже начинаю сдаваться. Думаю, что проблема в битых секторах диска. Все это делал на установочной среде флешки.
       
      UPD: В биосе я также выключил Secure Boot
    • amirus
      От amirus
      Всем привет. Никогда не писал нафорумах по ативирусам, более 10 лет пользовался альтернативой, проблем не знал. Касперский заставляет не только писать на форумах, но и нервничать. Проблема следующая. До конца подписки 281 день. 2 устройства подключены, работают. На третьем переустановил систему, и теперь не могу установить антивируник. Ссылку на загрузку беру именно с mykaspersky. То ему не нравится регион, а если не на регион, говорит нет активной подписки, хотя она есть! И пишут в FAQ что программа активируется автоматичеки, но по факту просит код. Кода активации нет, ввести не могу, техподдержка в трансе, не отвечает... В прошлом году была такая же проблема, но техподдержка решила, но каждый раз терпеть эти тряски напрягает.  Как быть, подскажите пожалуйста?


    • Witho
      От Witho
      2 месяца назад спокойно установил себе новый виндовс и не было никаких проблем. Сегодня купил новый ssd и решил установить на него виндовс. Проблема заключается в том что, я не могу зайти в биос. Когда перезагружаю компьютер просто чёрный экран, после сразу рабочий стол виндовс. Если пытаться нажимать клавиши F12, F11, F2, DEL ничего не происходит (Просто экран уходит в спящий режим) Через перезагрузку и shift такая же беда
      Ещё такая же проблема если запускаться через безопасный пуск
    • Sqwerno
      От Sqwerno
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
    • Блохина Татьяна
      От Блохина Татьяна
      Здравствуйте! Я недавно купила флешку Кингстон на 64 и 128гигабайт по работе. Но обнаружила на них обеих следующее. Файл если записать в корень флешки читается нормально, но если переписать его с другого носителя в папке, то появляется сообщение об ошибке и не возможности файл прочесть или просто чистый лист. Форматирование изменений не принесло. Что делать, выкинуть флешки или можно их вылечить? Спасибо. Антивирус Касперского постоянно обновляется и вирусов на флешках не показывает.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
×
×
  • Создать...